Embed Size (px)
DESCRIPTION
Mobile IPv6 セキュリティ. Arnaud Ebalard ( アルノー・エバラール ) - EADS コーポレート・リサーチ・センター・フランス Guillaume Valadon ( ギョーム・バラドン) - 東京大学/ パリ第 6 大学情報学研究所. 概要. IPv6 Mobile IPv6 セキュリティと Mobile IPv6 デフォルトの保護 IPsec. IPv6. IPv4 との違い. 機能上の変更 エンド・ツー・エンドの通信 ARP の代わりに ICMPv6 を用いる 構造上の変更 固定長ヘッダ - PowerPoint PPT Presentation
Citation preview
Mobile IPv6 セキュリティ
Arnaud Ebalard ( アルノー・エバラール )- EADS コーポレート・リサーチ・センター・フランス Guillaume Valadon ( ギョーム・バラドン )
- 東京大学/ パリ第 6 大学情報学研究所
概要
3.IPv64.Mobile IPv65.セキュリティと Mobile IPv6
2.デフォルトの保護
3.IPsec
IPv6
IPv4 との違い•機能上の変更
2.エンド・ツー・エンドの通信
3.ARP の代わりに ICMPv6 を用いる
•構造上の変更
6.固定長ヘッダ
7.ソースにおける断片化、チェックサムなし
8.ヘッダのチェイン化による拡張/オプション
IPv6 ヘッダ
Functional changes:End-to-End communications
ARP replacement uses ICMPv6
Structural changes:Fixed length header
Fragmentation at the source; no checksumExtensions/options through header chaining
拡張
ルーティングヘッダ
IPv6 アドレス
•階層的/地理的
•64 ビット・プレフィックス
•動的に生成されるインターフェイス ID
自動設定• ICMPv6 を基にしたメカニズム
•ステップ
3.アクセスルータによって通知された IPv6 プレフィックスの検索( RS / RA :ルータ要請/ルータ通知)
4.固有インターフェイス ID の生成
5.グローバルアドレスの生成:プレフィックスおよび固有のインターフェイス ID の連結
Mobile IPv6RFC 3775
なぜ ?3.どこにいても同じ IPv6 アドレスを使用
4.トランスポート層に対してのメディア変更を透過的にする
5.移動中の接続を維持
➡ラップトップ/ PDA を、今日の携帯電話の使用方と同じ方法で使用
課題•ルーティングが地理的なものであり、 IP アドレスが二重の機能を持っている
✓ 識別子 : 機器の識別
✓ ロケータ : ネットワーク上の地理的位置
•アーキテクチャ上の制約
5. 実際のエンドノードとの互換性
6. 実際のルーティングシステムを変更していない
➡ MIPv6 は、エンドポイントに実装されているのみ
どのように ? •プロトコルを IPv6 スタックに統合
•2 つの IPv6 アドレスを利用して、識別子とロケータの機能を分離
• HoA (ホームアドレス)
• CoA (気付アドレス)
•3 つの新たなエンティティ
• 移動ノード (MN) 、 CoA に関係なく、 HoA で通信可能
• ホームエージェント (HA) 、 HoA と現在の CoAを対応付ける
• 対応ノード (CN)
動作
HoA: MN のパーマネントアドレス(識別子)CoA: 出先ネットワークにおける MN のアドレス(ロケータ)
?
詳細
新たな拡張機能• パケットのイングレスフィルタリング通過を可能にする。
IPv6 ヘッダには常に、 HoA ではなく CoA が含まれる
• トポロジーの正確さを維持
1.タイプ 2 ルーティングヘッダ
•以前導入されたタイプ 0 ルーティングヘッダの制限バージョン(ただし、アドレスを 1 つだけ持つ)
•パケットの本当の終点アドレス( HoA )を MN に提供
2.ホームアドレスオプション( HAO )
•パケットの本当の始点アドレス( HoA )を MN から提供
タイプ 2ルーティングヘッダ
ホームアドレスオプション( HAO)
三角ルーティング
最適なルーティングを提供
困難な課題•安定した状態での MN-CN 間の通信の最適化
•ルーティングプレーンを利用した、識別子とロケータ間の関係の確保
✓ HoA および CoA において MN が通信可能であることを検証
➡CN に送信される対応付け更新( BU :Binding Update )に署名する鍵を生成する
リターンルータビリティ手順
HoT: Home of Test (ホームテスト)CoT: Care of Test
(気付テスト)
RRP 要約
•目標:三角ルーティングの回避
•仮説: MN-CN 間に信頼関係が存在しない
•欠如:データの完全性/機密性を提供しない
➡ 効率性とセキュリティのトレードオフ
セキュリティ および
Mobile IPv6
可能性のあるターゲット
1.ネットワークインフラを保護
➡ ステートレスな動作、慎重な設計
2.MN-HA間の通信を保護(シグナリングとデータ)
➡ IPsec3.MN-CN間の直接通信を保護 (シグナリングとデータ)
➡ リターンルータビリティ手順
4.信号伝達 MN <-> HA5.トンネル MN<-> 6.信号伝達 MN <-> CN7.データトラフィック <-> CN➡ リターンルータビリティ手順
インフラの保護
課題とソリューション•アドバイス:「既存のインターネットに害を及ぼすな」
•スプーフィング(なりすまし)防止
2.HoA 所有者の証明
3.特化した拡張: HAO およびタイプ 2 ルーティングヘッダ
•DoS防止4.インフラに対して:「 1 つのメッセージが受信され、 1 つのメッセージが送信される」
5.CN に対して:ステートレスな交換
MN-CN 間の通信
リターンルータビリティ手順•HoT / HoTI 、 CoT / CoTI および BU / BACK の
交換
2.CN : MN が HoA と CoA の両方でトラフィックを受信/送信できることを検証する
3.MN : CN に対して送信される BU に署名する鍵を生成する
•想定される問題( MiTM 、盗聴)
•ホームネットワークに対する攻撃者 •フォーリンネットワークに対する攻撃者
•両ネットワークに対する攻撃者
MN-HA 間の通信
IPsec• IPsec に対する根拠
2.IPv6 スタックにおいて必須
3.エンド・ツー・エンド通信
•保護されるべきもの
5.シグナリングメッセージ(即ち、 BU および BACK)
6.データトラフィック(即ち、 MN-HA 間のトンネル)
7.リターンルータビリティ手順(即ち、 HoTI / HoT )
➡MIPv6 / IPsec / IKE のやりとりに関連する問題
シグナリングトラフィック
基本
SA2
SA1
BU
BACK
SA1: HoA から HA@ に送られる BU => トランスポートモードの ESPSA2: HA@ から HoA に送られる BACK=> トランスポートモードの ESP
IPsec と MIPv6 の連携
•対応付け更新 ( BU)• 送信: IPsec 保護、 HAO オプションに
よる CoA と HoA の切り替え
• 受信: IPsec処理前のアドレス切り替え
•対応付け確認通知:タイプ 2 ルーティングヘッダに適用される処理と同種
ブートストラッピング
•SA (セキュリティアソシエーション)の設定は、 BU /BACK 送信前に実行されなければならない
•静的鍵交換では問題なし
•動的鍵交換では、誰かが、 HoA に関連する SA のネゴシエーションのため、 CoA を利用するよう IKE デーモンに命令しなければならない。 HoA はまだ有効ではない
•PF_KEY SADB_X_EXT_PACKET 拡張
•ネゴシエーションを起動した BU パケットを含む
•CoA を IKE デーモンに提供する
データトラフィック
トンネルモード SA のマイグレーション•最初に、トンネルモードの SP( セキュリティポリシー ) /
SA が MN の HoA を利用する(設定時間には CoA が分かっていない)
•SA トンネルのエンドポイントの自動更新が MN / HA において実行される
•MN が BU を送信し、 HA がそれを受信すると、 MIPv6 スタックが PF_KEY MIGRATE メッセージを送信する
•メッセージの受信が、以下を起動する
•カーネルによる SP / SA 更新
•[IKE デーモンの内部構造の更新 ]
Mobile Mobile IPv6IPv6
IKEIKE デーモンデーモン
SPDSPD SADSAD
PF_KEY ソケットユーザランドカーネル
1. PF_KEY MIGRATE 4. MAJ SPD & SAD
3. MAJ SAD2. MAJ SPD
結論
•識別子とロケータの分離は、今日のインターネットと互換性がある
•「境界セキュリティ」の終焉?
•ビルトイン型セキュリティのメカニズム:IPsec および RRP
結論
想定される展開
•標準的
•RRP
•将来 ?!?
今後の取り組み
1.MN-MN 間のトラフィックに IPsec 保護を活用する
3.新たな前提条件: MN-MN 間の信頼関係(例: PKI環境)
4.IKEv2 統合
デモンストレーション
実装
•Tests effectues avec MIPL et Shisa•descriptions succintes des resultats•la demo est la pour ca•preparer des slides en cas de
demo bonaldi
•presentation de la demo/testbed
•ping6 ?
•stream video/audio ? <- couillu :-p
結論実装
•retourner a la maison•migrate pour dynamic keying
ご質問は ?それともコーヒー ?
バックアップスライド
NEMO
ネットワーク全体が移動する
移動ルータ
